Negli ultimi mesi il termine hacktivismo è tornato al centro del dibattito italiano sulla cybersecurity. Siti istituzionali rallentati o resi temporaneamente indisponibili, campagne di rivendicazione sui social e sui canali di messaggistica, bersagli scelti per il loro valore simbolico: il copione sembra familiare. Ma dietro la superficie mediatica di questi attacchi si nasconde una questione più tecnica e delicata. Siamo davvero di fronte a semplici operazioni dimostrative o, in alcuni casi, l’hacktivismo sta diventando la copertura ideale per attività più profonde?
Molte campagne rivendicate come azioni ideologiche utilizzano tecniche relativamente note, come i DDoS, ossia il sovraccarico di un servizio tramite un’enorme quantità di richieste simultanee. L’obiettivo, nella sua forma più elementare, è interrompere temporaneamente la disponibilità di un sito o di un portale. Questo tipo di attacco ha un forte impatto comunicativo: è visibile, facilmente raccontabile e perfetto per catturare l’attenzione del pubblico. Ma proprio per questo rischia di produrre un effetto ottico.
Quando un ente concentra tutte le energie sulla disponibilità del sito colpito, potrebbe non accorgersi di altri segnali più pericolosi: scansioni parallele dell’infrastruttura, tentativi di accesso a servizi esposti, phishing mirati al personale, raccolta di informazioni da fonti aperte, compromissione di account periferici. In altre parole, l’attacco rumoroso può diventare una distrazione mentre qualcuno osserva il resto della rete.
In Italia, la vulnerabilità all’hacktivismo è elevata per motivi strutturali. Molte organizzazioni pubbliche dispongono di servizi web esposti, architetture eterogenee, fornitori diversi e livelli di maturità difensiva discontinui. Inoltre, gli attori che si presentano come ideologici beneficiano di un vantaggio importante: operano sul confine ambiguo tra propaganda digitale, attacco dimostrativo e pressione geopolitica indiretta.
Questo non significa che ogni episodio di hacktivismo implichi automaticamente un’operazione avanzata. Sarebbe una semplificazione opposta ma ugualmente pericolosa. Significa però che la classificazione superficiale di un incidente può portare a sottostimare il rischio. Un DDoS non è sempre “solo” un DDoS. È spesso anche un test di reazione, una misura dei tempi di risposta, una verifica della postura difensiva, un esercizio di esposizione pubblica della vittima.
Dal punto di vista tecnico, la difesa efficace richiede un cambio di approccio. Non basta mitigare il traffico malevolo o ripristinare il servizio colpito. Occorre correlare l’evento con i log di autenticazione, i tentativi di accesso falliti, le anomalie di rete, gli alert sugli endpoint, le richieste DNS, le attività sui pannelli amministrativi e gli eventuali movimenti laterali. Serve, cioè, una lettura multilivello dell’incidente.
L’aspetto investigativo più interessante è proprio questo: in un contesto di conflittualità digitale crescente, gli attacchi più visibili possono essere i meno importanti, mentre quelli meno appariscenti possono avere finalità più durature. Il problema è che la comunicazione pubblica si concentra quasi sempre sul sintomo più evidente.
Per l’Italia, il rischio non è soltanto la continuità dei servizi, ma anche l’abitudine a interpretare alcuni eventi come fastidi temporanei e non come segnali di un contesto ostile più ampio. In cybersecurity, ciò che fa notizia non coincide quasi mai con ciò che conta di più.
Ed è per questo che oggi la domanda corretta non è chi abbia rivendicato l’ultimo attacco. La domanda vera è: che cosa stava succedendo nel resto dell’infrastruttura mentre tutti guardavano il sito che cadeva?
